Comparación de enfoques y prácticas para la protección de datos personales en Rusia y la UE
De hecho, con cualquier acción cometida por el usuario en Internet, existe de una forma u otra la manipulación de los datos personales del usuario.
No pagamos por muchos servicios que recibimos en Internet: para buscar información, por correo electrónico, para almacenar nuestros datos en la nube, para comunicarnos en las redes sociales, etc. Sin embargo, estos servicios solo son condicionalmente gratuitos: los pagamos con nuestros datos. que estas empresas luego convierten en dinero, principalmente a través de la publicidad.
Actualmente, los datos sobre género, edad y lugar de residencia, historial de búsqueda -
La base de la industria de la publicidad en línea, que asciende a miles de millones de dólares y euros. Es decir, desde un punto de vista legal, los datos personales son materiales para hacer negocios. En consecuencia, las empresas están haciendo grandes esfuerzos y gastando fondos considerables para obtener y procesar datos personales. Las encuestas realizadas en 2018 muestran que los usuarios, al darse cuenta del valor de sus datos personales, están cada vez más insatisfechos con la forma en que las empresas manejan sus datos personales.
La regulación en el segmento del uso de datos de usuarios aún no ha tomado forma y va a la zaga del desarrollo de tecnologías no solo en Rusia sino en todo el mundo, por lo tanto, el equilibrio de intereses de los consumidores y las empresas en el modelo "dinero - servicio - datos - dinero" se construye hoy tanto por los reguladores como por los acuerdos tácitos entre sociedad y empresas. Los reguladores restringen las capacidades de las empresas de TI y amplían los derechos de los usuarios: introducen nuevas leyes que les dan a los usuarios más control sobre la información que proporcionan.
Es interesante comparar los enfoques de los reguladores en los países europeos y Rusia. En Rusia, los principales actos reglamentarios que rigen el manejo de datos personales es la Ley Federal de Protección de Datos Personales (152-FZ) más el Código de Infracciones Administrativas, que establece directamente la cantidad específica de multas por violar el procedimiento para el manejo de datos personales. Las multas administrativas a partir del 1 de julio de 2017 aumentaron significativamente. Al mismo tiempo, se establecieron nuevas multas según el tipo de delito cometido. Por lo tanto, los funcionarios pueden ser multados por una cantidad de 3,000 a 20,000 rublos, empresarios individuales, por una cantidad de 5,000 a 20,000 rublos, organizaciones, por una cantidad de 15,000 a 75,000 rublos. Además, pueden ser considerados responsables de diversos delitos. En consecuencia, por diferentes infracciones de una empresa puede imponer varias multas diferentes. Pero la responsabilidad se proporciona específicamente por el incumplimiento de los requisitos formales, por ejemplo, si faltan los documentos necesarios. Con la protección de la información real, esto no siempre está directamente relacionado. Por ejemplo, una fuga per se no es una base para sanciones, a menos que se violen otras leyes. Curiosamente, un número significativo de violaciones identificadas en el campo del manejo de datos personales contienen la composición prevista en el Artículo 19.7 del Código de Infracciones Administrativas de la Federación Rusa: “No envío o envío prematuro al organismo estatal (Roskomnadzor) - información (información), cuya disposición está prescrita por ley y es necesaria para la implementación de este organismo sus actividades legítimas .. ". Curiosamente, se proporciona una responsabilidad mucho mayor no por la violación del procedimiento para el manejo de datos personales (como se mencionó anteriormente, esto es un promedio de 30-50 mil rublos), sino por la falta de información (retraso, presentación incompleta) sobre el procedimiento para el manejo de datos personales en Roskomnadzor aplica una multa de hasta 200,000 rublos. Es decir En la legislación de Rusia y en la práctica de su aplicación, la tendencia prevaleciente es "lo más importante en que se sentaría la demanda" y se satisfacían las necesidades del Estado. cuerpos en varios informes. Los derechos reales de los usuarios y la seguridad de sus datos personales en Internet están poco protegidos. La misma cantidad de multas no se correlaciona con la cantidad de beneficios recibidos por algunas compañías en caso de violación del tratamiento de datos personales en Internet y no estimula el cumplimiento de estas reglas.
La UE tiene una imagen ligeramente diferente. Desde mayo de 2018, en Europa, el trabajo con datos personales ha sido regulado por las reglas para el procesamiento de datos personales establecidas por el Reglamento General de Protección de Datos (Reglamento UE 2016/679 del 27 de abril de 2016 o el RGPD - Reglamento General de Protección de Datos). La regulación tiene efecto directo en los 28 países de la UE. La regulación brinda a los residentes de la UE la oportunidad de tener un control completo sobre sus datos personales. Según el GDPR, significativamente los ciudadanos y residentes de la UE tienen derechos muy amplios para controlar sus datos personales. Los usuarios europeos tienen derecho a solicitar la confirmación del hecho de que sus datos han sido procesados, el lugar y el propósito del procesamiento, las categorías de datos personales que se procesan, a qué terceros se divulgan los datos personales, el período durante el cual se procesarán los datos, así como a especificar la fuente de datos personales recibidos por la organización y requerir su corrección. Además, el usuario tiene derecho a exigir la finalización del procesamiento de sus datos.
Desde mayo de 2018, la responsabilidad en forma de multas por violación de las reglas para el procesamiento de datos personales: según el RGPD, las multas alcanzan los 20 millones de euros (alrededor de 1.500 millones de rublos) o el 4% del ingreso global anual de la compañía.
Lo más importante es que todo funciona, las empresas que violan los derechos de los usuarios son responsables y muy serias. Por ejemplo, el 21 de enero de 2019, la Comisión Nacional de Informática y Derechos Civiles (CNIL) de Francia decidió multar a la empresa estadounidense GOOGLE LLC por 50 millones de euros por violar el RGPD. El monto de la multa es muy grande. Esto ilustra claramente la amenaza de incumplimiento de los requisitos de GDPR. ¿Por qué fue castigado? La comisión francesa determinó que durante la configuración inicial de un dispositivo móvil que usa el sistema operativo Android (Google), el usuario no recibe información completa sobre lo que Google hace con sus datos personales. La compañía no ha cumplido su obligación de garantizar la transparencia en el procesamiento de datos personales y las entidades informantes (artículos 12 y 13 del GDPR). Los períodos de almacenamiento de datos del usuario no están regulados con precisión. La empresa no tenía la base legal necesaria para el procesamiento de datos (artículo 6 GDPR). Google también fue acusado de obtener incorrectamente el consentimiento del usuario para procesar sus datos para personalizar los anuncios.
Otros ejemplos: una multa del regulador alemán de LfDI, la aplicación de chat de citas Knuddels - 20,000 euros, el Hospital Barreiro portugués fue acusado de administrar incorrectamente el acceso a datos personales críticos (una multa de 300 mil euros) y la violación de la seguridad y la integridad de los datos (otros 100 mil euros ) Las autoridades del Reino Unido han emitido una advertencia a una empresa canadiense de investigación analítica. La empresa se vio obligada a dejar de procesar los datos personales de los ciudadanos, de lo contrario se enfrentaría a una multa de 20 millones de euros. La empresa canadiense AggregateIQ, que se dedica al marketing digital y al desarrollo de software, recibió una multa de 17,000,000 libras. Los cafés en Austria fueron multados con 5.280 € por video vigilancia ilegal (la cámara incautó parte de la acera). Es decir cualquier organización cubierta por el GDPR no debe limitarse, de acuerdo con la tradición rusa, al desarrollo de documentación reglamentaria.
Por cierto, la peculiaridad del RGPD es que su efecto se aplica a todas las empresas que procesan datos personales de residentes y ciudadanos de la UE, independientemente de la ubicación de dicha empresa, por lo tanto, las empresas rusas deben considerar cuidadosamente este Reglamento si sus servicios se centran en el mercado europeo